一、 漏洞 CVE-2025-59049 基础信息
漏洞信息
                                        # Mockoon 静态文件路径遍历漏洞

## 概述

Mockoon 是一个用于设计和运行模拟 API 的工具。在版本 9.2.0 之前,其静态文件服务的配置存在安全漏洞。

## 影响版本

版本 9.2.0 之前的 Mockoon。

## 漏洞细节

在处理静态文件服务时,服务器通过模板功能根据用户输入生成文件名。该机制存在路径遍历(Path Traversal)和本地文件包含(LFI)漏洞,攻击者可利用此漏洞读取模拟服务器文件系统中的任意文件。

## 漏洞影响

此漏洞在云托管的 Mockoon 实例中尤其危险,可能导致敏感文件泄露,进而危及系统安全。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Mockoon has a Path Traversal and LFI in the static file serving endpoint
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Mockoon provides way to design and run mock APIs. Prior to version 9.2.0, a mock API configuration for static file serving follows the same approach presented in the documentation page, where the server filename is generated via templating features from user input is vulnerable to Path Traversal and LFI, allowing an attacker to get any file in the mock server filesystem. The issue may be particularly relevant in cloud hosted server instances. Version 9.2.0 fixes the issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
文件名或路径的外部可控制
来源:美国国家漏洞数据库 NVD
漏洞标题
Mockoon 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Mockoon是mockoon开源的一个接口软件。 Mockoon 9.2.0之前版本存在安全漏洞,该漏洞源于静态文件服务配置中存在路径遍历和本地文件包含漏洞。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-59049 的公开POC
# POC 描述 源链接 神龙链接
1 Mockoon before 9.2.0 contains a path traversal and local file inclusion caused by unsafe templating of server filenames from user input, letting attackers read arbitrary files on the mock server filesystem, exploit requires crafted request. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-59049.yaml POC详情
三、漏洞 CVE-2025-59049 的情报信息

  • 标题: Path Traversal and LFI in static file serving endpoint · Advisory · mockoon/mockoon · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    神龙速读
    Path Traversal and LFI in static file serving endpoint · Advisory · mockoon/mockoon · GitHub

  • 标题: Fix path traversal vulnerability in file paths · mockoon/mockoon@c7f6e23 · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    Fix path traversal vulnerability in file paths · mockoon/mockoon@c7f6e23 · GitHub

  • 标题: mockoon/packages/commons-server/src/libs/server/server.ts at 1ed31c4059d7f757f6cb2a43e10dc81b0d9c55a9 · mockoon/mockoon · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    mockoon/packages/commons-server/src/libs/server/server.ts at 1ed31c4059d7f757f6cb2a43e10dc81b0d9c55a9 · mockoon/mockoon · GitHub

  • 标题: mockoon/packages/commons-server/src/libs/server/server.ts at 1ed31c4059d7f757f6cb2a43e10dc81b0d9c55a9 · mockoon/mockoon · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    mockoon/packages/commons-server/src/libs/server/server.ts at 1ed31c4059d7f757f6cb2a43e10dc81b0d9c55a9 · mockoon/mockoon · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-59049
四、漏洞 CVE-2025-59049 的评论

暂无评论

发表评论